編集部からのお知らせ
記事PDF集:官民意識のゼロトラスト
電子インボイスの記事まとめ

クリプトマイニングにも利用される「Necro Python」ボット、新たなエクスプロイトで機能強化

Charlie Osborne (Special to ZDNet.com) 翻訳校正: 編集部

2021-06-04 14:20

 Cisco Talosが米国時間6月3日に公開した「Necro Python」に関する報告書によると、このマルウェアはその能力を高めているという。Necro Pythonは2015年から開発されているとみられている。このボットは、「FreakOut」もしくは「Necro」という別名を持ち、Check Point Research(CPR)が2021年1月に、Netlab 360が3月に詳細を報告している。

 Necro Pythonの開発者は、多数の変更を施し、ボットのパワーと汎用性を強化している。ボットには10以上のウェブアプリケーションやSMBプロトコルのエクスプロイトが含まれているという。例えば、「VMWare vSphere」「SCO OpenServer」「Vesta Control Panel」などのエクスプロイトが新たに追加されている。

 また、5月18日に公開されたこのボットネットのバージョンには、「EternalBlue」(CVE-2017-0144)と「EternalRomance」(CVE-2017-0147)のエクスプロイトも含まれる。

 ボットはまず、「Linux」ベースのOSと「Windows」OSでこれらの脆弱性を悪用しようとする。Javaベースのダウンローダーも感染の初期段階で利用される。Pythonインタプリターと悪意のあるスクリプト、「pyinstaller」で作成した実行ファイルも悪用し、侵害したシステムをスレーブマシンとしてボットネットに仕立てようとするようだ。

 その後、Necro Pythonはコマンド&コントロール(C2)サーバーとの接続を確立してオペレーターとつながり、コマンドを受信して、ネットワークを傍受してデータを盗み出そうとしたり、さらなるマルウェアペイロードを展開したりする。

 コードは、仮想通貨(暗号資産)マイナーの「XMRig」プログラムをダウンロードし、実行するようになっている。侵害したマシンのリソースを不正に使用し、仮想通貨「Monero」を採掘するという。

 研究者らによると、「感染したシステムのHTMLファイルやPHPファイルに、攻撃者が管理するサーバーからコードを挿入して、JavaScriptベースのマイナーをダウンロードして実行する」。そして「ユーザーが感染したアプリケーションを開くと、JavaScriptベースのMoneroマイナーがブラウザーのプロセススペース内で実行される」という。

 ボットは、DDoS(分散型サービス拒否)攻撃、ネットワークのスニッフィングなどを行う機能も備えている。

 また、ユーザーモードのルートキットをインストールし、ユーザーがログインするたびにボットが動き、永続性を維持するが、その存在に気づかれないよう、悪意のあるプロセスやレジストリーエントリーは隠されているという。

 Necro Pythonのもう1つの注目すべきアップデートにポリモーフィックな機能がある。ボットの作成者は、より検出を困難にさせようとしているとみられ、イテレーションごとにスクリプトコードを変更させるポリモーフィックエンジンを追加したという。

 Talosは、「Necro Pythonボットの攻撃者は、さまざまなウェブアプリケーション上で、リモートコマンド実行のエクスプロイトの最新の進展をフォローし、ボットで新しいエクスプロイトを活用している。このため拡大して、システムが感染する可能性が高くなる。ユーザーはOSだけでなく、すべてのアプリケーションに必ず定期的に最新のセキュリティーアップデートを適用する必要がある」と注意を促している。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. 経営

    5分でわかる、レポート作成の心得!成果至上主義のせっかちな上司も納得のレポートとは

  2. 経営

    ノートPCは従来ながらの選び方ではダメ!新しい働き方にも対応する失敗しない選び方を徹底解説

  3. 経営

    問題だらけの現場指導を効率化!「人によって教え方が違う」を解消するためのマニュアル整備

  4. ビジネスアプリケーション

    緊急事態宣言解除後の利用率は低下 調査結果に見る「テレワーク」定着を阻む課題とその対応策

  5. ビジネスアプリケーション

    たしか、あのデータは、こっちのアプリにあったはず…--業務改善のためのアプリ導入がストレスの原因に?

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]